ホーム
アプリケーション・リスクの管理
以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
ステップ 5: 進行状況の測定とコンプライアンスの実証
進行状況の測定とコンプライアンスの実証方法について説明します。
コンプライアンスの実証
コンプライアンスの実証方法について説明します。
業界標準のレポート
業界標準のレポートについて説明します。
2019 年 OWASP API Security Top 10 レポート
API (アプリケーション・プログラム・インターフェース) は、すべての業界の企業にとって不可欠なツールです。多くの領域で API の使用が増加しており、API は最新のモバイル、SaaS、Web アプリケーションの重要な部分を構成しています。そのため、API セキュリティーの重要性について周知し、API に固有の脆弱性を公開することが、Web アプリケーションの場合以上に求められています。OWASP API Security Top 10 レポートは、開発者、テスター、ユーザーだけでなくプロジェクト・マネージャー、セキュリティー研究者、教育者が、API 関連の最も重大な最新のセキュリティーの脆弱性に関するインサイトを得るのに役立ちます。

アプリケーション・リスクの管理
以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
- ステップ 1: アプリケーション・インベントリーの作成
  アプリケーション・インベントリーの作成方法を説明します。
- ステップ 2: 脆弱性に関するアプリケーションのテスト
  アプリケーション内で特定された脆弱性のテスト方法を説明します。
- ステップ 3: リスクの判別と脆弱性の優先順位付け
  アプリケーション内で特定されたリスクを判別して、脆弱性の優先順位付けをする方法について説明します。
- ステップ 4: リスクの修復
  アプリケーション内で特定されたリスクの修復方法を説明します。
- ステップ 5: 進行状況の測定とコンプライアンスの実証
  進行状況の測定とコンプライアンスの実証方法について説明します。
  - 進行状況の測定
    ポートフォリオを構成するアプリケーションのさまざまなメトリックと傾向を追跡する方法について説明します。
  - コンプライアンスの実証
    コンプライアンスの実証方法について説明します。
    - レポートとしての問題のエクスポート
      カスタマイズされた問題のレポート (PDF、HTML、または XML) を生成し、それを開発者、内部監査員、侵入テスター、管理者、および CISO に送信することができます。AppScan Enterprise のレポート・テンプレートにより、アプリケーション・セキュリティー・データは主な行政規制および業界標準にマップされます。レポートを使用して、コンプライアンスの問題に関連するアプリケーション脆弱性の数の減少の表示など、規制に対するコンプライアンスの目標に向けた進行状況を示します。
    - セキュリティー・レポートのサイズの制限
      セキュリティー・レポートはサイズが大きい場合があります。レポート生成中、ファイルに数百ページの長さがある、あるいはレポートの作成処理がタイムアウトになることを示す警告メッセージが表示される場合があります。レポート・サイズを減らすために、以下のヒントを試してください。
    - コンプライアンス・レポート
      コンプライアンス・レポートについて説明します。
    - 業界標準のレポート
      業界標準のレポートについて説明します。
      - 「International Standard ISO 27001」レポート
        このレポートには、規格の制御目標に違反している既存 Web アプリケーションのぜい弱性が表示されます。この規格にリストされている制御目標は、ISO 17799 にリストされた制御目標から直接抜粋し、調整を加えたものです。
      - 「International Standard ISO 27002」レポート
        このレポートには、規格の制御目標に違反している既存 Web アプリケーションのぜい弱性が表示されます。この規格にリストされている制御目標は、ISO 17799 にリストされた制御目標から直接抜粋し、調整を加えたものです。
      - 「NERC サイバー・セキュリティー標準」レポート
        このレポートには、ユーザーのサイトで検出された NERC サイバー・セキュリティー標準の問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - NIST 特別刊行物 800-53 (第 4 版) レポート
        このレポートは、ユーザーのサイトで見つかった NIST 問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 2021 年 OWASP Top 10 レポート
        OWASP Top 10 は、開発者および Web アプリケーションのセキュリティーに対する啓発のための標準ドキュメントです。この OWASP Top 10 は、Web アプリケーションに対する最も重大なセキュリティー・リスクについての幅広いコンセンサスを表したものです。
      - 2019 年 OWASP API Security Top 10 レポート
        API (アプリケーション・プログラム・インターフェース) は、すべての業界の企業にとって不可欠なツールです。多くの領域で API の使用が増加しており、API は最新のモバイル、SaaS、Web アプリケーションの重要な部分を構成しています。そのため、API セキュリティーの重要性について周知し、API に固有の脆弱性を公開することが、Web アプリケーションの場合以上に求められています。OWASP API Security Top 10 レポートは、開発者、テスター、ユーザーだけでなくプロジェクト・マネージャー、セキュリティー研究者、教育者が、API 関連の最も重大な最新のセキュリティーの脆弱性に関するインサイトを得るのに役立ちます。
      - CWE 上位 25 の最も危険なソフトウェアの脆弱性レポート
        このレポートには、ユーザーのサイトで検出される共通脆弱性タイプ一覧 (CWE™) 上位 25 の最も危険なソフトウェアの脆弱性が表示されます。CWE 上位 25 は、開発者、テスター、ユーザーだけでなくプロジェクト・マネージャー、セキュリティー研究者、教育者が、最も重大な最新のセキュリティーの脆弱性に関するインサイトを得るのに役立つ、貴重なコミュニティー・リソースです。
      - 「WASC 脅威の分類 v2.0」レポート
        このレポートには、Web サイトで見つかった WASC 脅威の分類に関する問題が示されます。

2019 年 OWASP API Security Top 10 レポート

API (アプリケーション・プログラム・インターフェース) は、すべての業界の企業にとって不可欠なツールです。多くの領域で API の使用が増加しており、API は最新のモバイル、SaaS、Web アプリケーションの重要な部分を構成しています。そのため、API セキュリティーの重要性について周知し、API に固有の脆弱性を公開することが、Web アプリケーションの場合以上に求められています。OWASP API Security Top 10 レポートは、開発者、テスター、ユーザーだけでなくプロジェクト・マネージャー、セキュリティー研究者、教育者が、API 関連の最も重大な最新のセキュリティーの脆弱性に関するインサイトを得るのに役立ちます。

問題点

API に対する脅威のランドスケープは常に変化しています。API は、アプリケーション・ロジックや個人情報 (PII) などの機密データを公開するため、アタッカーのターゲットになります。これらの要因は API の分析を困難にするだけでなく、脅威のランドスケープを大幅に変化させる原因となり得ます。こうした変化に対応するため、OWASP 組織が 2019 年 12 月 31 日にリリースした OWASP API Security Top 10 レポートでは、API の固有の脆弱性とセキュリティー・リスクを理解し、軽減するための戦略とソリューションに焦点を当てています。

OWASP API Security Top 10 脆弱性

ID	名前
API1	オブジェクト・レベルの権限の不備
API2	ユーザー認証の不備
API3	データの過剰な露出
API4	リソース不足とレート制限
API5	機能レベルの権限の不備
API6	一括割り当て
API7	セキュリティーの構成ミス
API8	Injection (注入)
API9	不適切な資産管理
API10	Insufficient Logging and Monitoring (不完全なロギングとモニター)